Board logo

标题: 主动防御还是主动免疫? [打印本页]
作者: 御剑临风     时间: 2009-2-12 23:02    标题: 主动防御还是主动免疫?

主动防御发展史

主动防御的出现

近些年来,人们由过去有病看病发展到定期体检,预防为主的健康理念。而在信息安全领域在安全威胁防御方面的理念同样发生着变化。“特征码”识别病毒是目前杀毒软件主要技术手段,但这一手段只能起到亡羊补牢的作用--只有某一段代码被编制出来之后,才能判断这个代码是不是病毒,才能谈到去检测或清除这种病毒。杀毒软件厂商只有发现并捕获到新病毒后,才有可能从病毒体中提取其特征值。这使得杀毒软件对新病毒的防范始终滞后于病毒出现,就好比用户被传染流感生病之后不得不去医院医治。种种现象迫使安全厂商开始研发新的防御技术,主动防御也就诞生了!

主动防御技术的发展

主动防御已经推出了有两年时间,一般意义上的“主动防御”,就是全程监视进程的行为,一旦发现“违规”行为,就通知用户,或者直接终止进程。它就像私人医生一样,在别人传染你病毒之前,主动防御技术会检查对方是否有异样,如“面色暗淡、精神恍惚”,但是并不是所有精神不好的人都带有流感病毒。 因此“主动防御”的误判率是非常高的,主动防御厂商不得不把权限给用户,让用户决定它到底有没有带有病毒,这样容易使普通用户很难依据“行为”来判断程序是否有危害到系统,同时无休止的弹窗也让用户无比反感。就在主动防御技术走在瓶颈阶段的时候,以微点为主的主动防御技术厂商不得不用开发白名单定制规则,来避免误杀。主动防御比起普通杀软防御技术具备一定的智能性,但也正是主动防御的智能性,让黑客有了可乘之机。黑客可以利用黑名单,改变规则,绕过报警,对用户系统安全造成威胁,但是无论如何主动防御的演变确实方便了很多。




【图1微点判超级巡警为未知木马】


主动免疫技术

什么是主动免疫技术

近期一个新的防御技术也开始斩露头角,就是下面我们要说的主动免疫技术。它是一种全新的免疫未知病毒和木马防御技术,如果说主动防御是医生,那通过权限设定来实现安全的主动免疫技术更像万能免疫疫苗,可以说是病毒丛中过,片叶不沾身。但是主动免疫技术仍存在一定危险性,比如有些程序安装时,必须用到管理员权限,这个时候针对每个应用程序的权限控制将比较繁琐。如现在主推该技术的墨者安全专家,在运行一些未知需要管理员权限的程序时,需要用墨者的提权工具右键提权才可以正常安装,墨者官方也多次提醒用户慎用此功能。




图2.墨者安全专家右键提权运行


防御技术将走向主动免疫还是主动防御?

现在的主动防御,实际上是安全厂商在原有对安全技术方面上的一个延伸,“主动防御”被认为是资源访问规则控制(HIPS)、资源访问扫描、恶意行为分析引擎等多种技术的统称,

它的功能弥补了传统“特征码查杀”技术对新病毒的滞后性。然而用户眼中的主动防御,应该是可以自动实现对未知威胁的拦截和清除,就像免疫一样。而主动免疫是国际前沿的反rootkit技术、自动识别白名单技术、超级权限管理技术的综合体。比起主动防御来,主动免疫技术给未知程序释放了一定空间,在未知的病毒和木马还未进入或者接触时,给用户电脑打了“免疫”针,即便是这些有害程序进来,用户也不可能被其侵害。主动免疫的技术不仅对病毒木马的权限进行控制,同时对于其他未知程序将通过一些手段来满足他们正常运行的权限。

无论是主动免疫,还是主动防御,我们都看到安全厂商由杀到防的转型,来应付现今的病毒木马超级繁殖的事态。随着保障安全难度的进一步加大,用户更希望安全企业加快研发和创新的步伐,真正实现“魔高一尺,道高一丈”的口号,而不是只在嘴皮子上下功夫!
作者: juestice     时间: 2009-2-12 23:29
主动防御和沙盘有什么区别。?
作者: Legend     时间: 2009-2-12 23:47
主动防御技术是基于程序行为自主分析判断技术的;
微点主动防御软件是主动防御技术研发的成功案例,主动防御软件自身更是包含多种技术并非楼主文中所指“主动防御”。
微点主动防御软件是能够自主分析病毒、明确报出病毒、自动清除病毒的主动防御类软件。
作者: tnssjk2005     时间: 2009-2-13 07:39
3楼说的有道理,1楼把主动防御说成是白名单了,如果就凭白名单就能防阻病毒,那就没有未知的病毒了,晕。
作者: 化外愚民     时间: 2009-2-13 08:35
楼主弄的这篇文章关于主动防御的说法不很准确,比如说这里有个帖子说有个病毒会读键盘并存成个文件并发出去。于是,按主动防御的原理,便可针对这一行为采取措施,应该是很少误报的。

至于那种主动防疫,个人感觉应该是hips类的东西,先限制着,不行了问用户行不行,或说问也不问,纯让用户自己判断是不是该放行。

[ Last edited by 化外愚民 on 2009-2-13 at 08:37 ]
作者: 御剑临风     时间: 2009-2-13 10:43
微点现在加入了大量的白名单的

就比如有一个论坛人反映 QQ2009英文版 被微点误杀

为什么呢?? 就应为QQ2009中文版 被微点收录到白名单里面

而英文版2009没有被收录
作者: 凡间幽灵     时间: 2009-2-13 12:12
沙盘是用来测试的,可以更方便一些,或者自己没事的时候用来研究东西用的
作者: liym_888     时间: 2009-2-17 13:33
用过墨者安全专家,感觉使用起来很不舒服!!!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn